¿Cómo cifrar los datos en el servidor?

11

Tengo algunos datos en el servidor (que ejecutan Linux) que deben estar encriptados (política de la empresa). Estos datos están siendo atendidos por una aplicación que se ejecuta en esta máquina. Ahora considero algunas posibilidades:

1) Cifre solo la partición en la que residen los datos (por el sistema operativo).
2) Cifre solo los datos en cuestión (un software de terceros) pero no toda la partición.
3) Encripta todo.

¿Qué opción recomendarías? Lo que más me preocupa es el rendimiento, ya que estos datos son muy utilizados. Actualmente no tenemos la posibilidad de usar discos SAN encriptados. Las anteriores parecen ser las únicas opciones. ¿Podría decirme qué opción es la mejor y qué software / herramientas recomendaría para implementarla?

    
pregunta Janek 07.05.2013 - 10:39
fuente

2 respuestas

22

Hay una serie de defensas que puede usar para ayudar a prevenir y recuperarse del robo.

Lo primero que debes analizar es el cifrado de disco completo, por ejemplo, LUKS , TrueCrypt , o PGP . Esto evitará que un atacante lea los datos en el disco, incluso si roban el hardware. Sin embargo, deberá ingresar la contraseña en el arranque, por lo que, para hardware remoto desatendido, esto podría ser problemático a menos que tenga acceso a gestión de luces apagadas (por ejemplo, HP iLO o Dell DRAC).

Además de esto, debe asegurarse de que existan otros mecanismos:

  • Seguridad física sólida en su centro de datos (por ejemplo, cerraduras, datos biométricos, CCTV, alarmas)
  • Los procedimientos de seguridad deben implementarse en el centro de datos. Todas las personas que ingresen deben iniciar sesión y todos los accesos / cambios de hardware deben registrarse y registrarse.
  • Los racks de servidores buenos vienen con los accesorios adecuados para los servidores con candado en su lugar. Si está disponible, esta característica debe ser utilizada. Seleccione un candado fuerte que sea resistente a los recortadores de pernos y shivs.
  • Se estableció una contraseña administrativa de BIOS para evitar que se modifique el orden de inicio.
  • conjunto de contraseñas de inicio de BIOS, si es posible (puede requerir asistencia física al inicio)
  • Las credenciales de la aplicación se pueden almacenar en un HSM dedicado para ayudar a prevenir la recuperación de datos en caso de robo.
  • La resina epoxi se puede usar para deshabilitar puertos físicos, para evitar que dispositivos no autorizados se conecten al sistema.
  • Las ID de activos se deben establecer correctamente en la consola de administración del BIOS o del servidor, y se deben registrar en un registro de activos.
  • tinta UV debe utilizarse para etiquetar todos los dispositivos. Puede comprar bolígrafos de seguridad UV a muy bajo costo, y son muy útiles para la identificación de propiedades en caso de robo. A menudo vale la pena marcar los discos duros individuales, así como el chasis del servidor.
  • mecanismos a prueba de manipulaciones , por ejemplo, cinta de seguridad, se puede utilizar para asegurar que el hardware no haya sido manipulado. Una forma rápida y fácil de usarlo es grabar el servidor y firmar la cinta con un rotulador. Si el servidor se abre más tarde, el sello se romperá. La nueva cinta aplicada sobre la parte superior no llevará la misma firma.
respondido por el Polynomial 07.05.2013 - 12:07
fuente
7

Siguiendo el modelo de amenaza que es el robo del servidor, elegiría utilizar el cifrado completo del disco en forma de LUKS o similar.

Sin embargo, para ese modelo de amenaza, el enfoque no debería ser tu enfoque. En su lugar, asegúrese de que su centro de datos tenga la seguridad física adecuada en forma de control de acceso, vigilancia y similares.

    
respondido por el Ayrx 07.05.2013 - 11:14
fuente

Lea otras preguntas en las etiquetas